页面标题
页面副标题
移动应用安全检测报告
WorldBox v0.8.3
32
安全评分
安全基线评分
32/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在较高安全风险,需要重点关注
漏洞与安全项分布
15
高危
17
中危
2
信息
2
安全
隐私风险评估
7
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
15
中危安全漏洞
17
安全提示信息
2
已通过安全项
2
重点安全关注
1
高危安全漏洞 检测到调试证书签名
检测到应用使用调试证书签名。请勿在生产环境中使用调试证书。
高危安全漏洞 Activity (com.unity3d.player.UnityPlayerActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.unity3d.player.UnityPlayerActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(22) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.facebook.unity.FBUnityAppLinkActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(22)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(22)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.facebook.CustomTabActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(22)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.google.firebase.auth.internal.GenericIdpActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(22) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(22)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.google.firebase.auth.internal.RecaptchaActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(22) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(22)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/unity/purchasing/BuildConfig.java, line(s) 3,5
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: bolts/WebViewAppLinkResolver.java, line(s) 224,6,7 com/unity3d/services/core/webview/WebViewApp.java, line(s) 165,10,75,81,95,121
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.facebook.unity.FBUnityAppLinkActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Content Provider (com.facebook.FacebookContentProvider) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (ahmyth.mine.king.ahmyth.MyReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: bolts/WebViewAppLinkResolver.java, line(s) 214,189 com/unity3d/services/ads/webplayer/WebPlayerView.java, line(s) 543,527 com/unity3d/services/core/webview/WebView.java, line(s) 101,77
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c/g0/l/a.java, line(s) 17 c/g0/l/d.java, line(s) 7 com/unity3d/services/core/request/SDKMetrics.java, line(s) 9
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/unity3d/services/core/cache/CacheDirectory.java, line(s) 53
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: ahmyth/mine/king/ahmyth/g.java, line(s) 61
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/unity3d/services/core/webview/WebView.java, line(s) 50,77
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/unity3d/services/core/device/Device.java, line(s) 153
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: bolts/MeasurementEvent.java, line(s) 19,20 com/unity3d/ads/metadata/InAppPurchaseMetaData.java, line(s) 6
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-8168183924385686~1706369463" Google_Drive_API_Key: AIzaSyDCc5fnrMUOo2mMRg5rZQ2ATPaWoQddsGM "firebase_database_url" : "https://worldbox-g.firebaseio.com" "google_api_key" : "AIzaSyDCc5fnrMUOo2mMRg5rZQ2ATPaWoQddsGM" "google_crash_reporting_api_key" : "AIzaSyDCc5fnrMUOo2mMRg5rZQ2ATPaWoQddsGM" "google_app_id" : "1:1085802747657:android:0087a23680a9c84c" 9b8f518b086098de3d77736f9458a3d2f6f95a37 df6b721c8b4d3b6eb44c861d4415007e5a35fc95 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 cc2751449a350f668590264ed76692694a80308a 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: ahmyth/mine/king/ahmyth/ConnectionManager.java, line(s) 59,196,255 ahmyth/mine/king/ahmyth/d.java, line(s) 45 ahmyth/mine/king/ahmyth/f.java, line(s) 52 ahmyth/mine/king/ahmyth/g.java, line(s) 60,73 ahmyth/mine/king/ahmyth/h.java, line(s) 26 bitter/jnibridge/JNIBridge.java, line(s) 61 bolts/MeasurementEvent.java, line(s) 103,115 com/unity3d/ads/UnityAds.java, line(s) 99,104 com/unity3d/ads/UnityAdsBaseOptions.java, line(s) 22 com/unity3d/ads/metadata/MetaData.java, line(s) 30,45 com/unity3d/services/UnityServices.java, line(s) 38,83,89,98,110,133,121,123,129,55 com/unity3d/services/ads/UnityAdsImplementation.java, line(s) 68,94,185,193,162 com/unity3d/services/ads/adunit/AdUnitActivity.java, line(s) 391,393,56,68,145,204,240,284,318,340,409,245 com/unity3d/services/ads/adunit/VideoPlayerHandler.java, line(s) 17,35 com/unity3d/services/ads/api/AdUnit.java, line(s) 202,208,257,260,264,267,324,327,330,333,360,110,132,155,162,338,351,363,367,407,498 com/unity3d/services/ads/api/VideoPlayer.java, line(s) 60,78,101,119,170,181 com/unity3d/services/ads/api/WebPlayer.java, line(s) 53 com/unity3d/services/ads/configuration/AdsModuleConfiguration.java, line(s) 74,85,93 com/unity3d/services/ads/load/LoadModule.java, line(s) 129 com/unity3d/services/ads/video/VideoPlayerView.java, line(s) 42,60,100,105,123,165,177,211 com/unity3d/services/ads/webplayer/WebPlayerView.java, line(s) 66,76,404,420,518,561,619,634,648,660 com/unity3d/services/ar/view/ARView.java, line(s) 290,369,186,313,328,202,207,215,360 com/unity3d/services/ar/view/GLSurfaceView.java, line(s) 160,174,277,596,231 com/unity3d/services/ar/view/ShaderLoader.java, line(s) 14,29 com/unity3d/services/banners/BannerView.java, line(s) 122 com/unity3d/services/banners/UnityBanners.java, line(s) 334 com/unity3d/services/core/api/Cache.java, line(s) 159,173,52,125,178 com/unity3d/services/core/api/DeviceInfo.java, line(s) 154,172,193,341,367,381,434 com/unity3d/services/core/api/Intent.java, line(s) 49,63,207,231,246 com/unity3d/services/core/api/Request.java, line(s) 33,45,96,108,126,138 com/unity3d/services/core/api/Sdk.java, line(s) 15,26,42,66,72,78,84 com/unity3d/services/core/broadcast/BroadcastEventReceiver.java, line(s) 36 com/unity3d/services/core/cache/CacheDirectory.java, line(s) 25,27,64,68,78,100,104,110,113,30,57,73 com/unity3d/services/core/cache/CacheThread.java, line(s) 74 com/unity3d/services/core/cache/CacheThreadHandler.java, line(s) 43,46,50,71 com/unity3d/services/core/configuration/Configuration.java, line(s) 210 com/unity3d/services/core/configuration/EnvironmentCheck.java, line(s) 32,45,35,48,51,54,57 com/unity3d/services/core/configuration/InitializationNotificationCenter.java, line(s) 47 com/unity3d/services/core/configuration/InitializeThread.java, line(s) 215,356,371,415,428,528,540,567,623,113,223,226,272,292,477,514,627,722,731,182,254,365,455 com/unity3d/services/core/connectivity/ConnectivityMonitor.java, line(s) 53,81,91,73,120 com/unity3d/services/core/device/AdvertisingId.java, line(s) 127,144,154 com/unity3d/services/core/device/Device.java, line(s) 71,155,231,236,245,254,350,358,367,502,541,554,308 com/unity3d/services/core/device/OpenAdvertisingId.java, line(s) 129,150,157 com/unity3d/services/core/device/Storage.java, line(s) 47,51,58 com/unity3d/services/core/log/DeviceLog.java, line(s) 64,209,216 com/unity3d/services/core/misc/JsonStorage.java, line(s) 153,26,32,51,72,83,95,162,168 com/unity3d/services/core/misc/Utilities.java, line(s) 36,54 com/unity3d/services/core/misc/ViewUtilities.java, line(s) 26,35 com/unity3d/services/core/preferences/AndroidPreferences.java, line(s) 14,26,38,50,62 com/unity3d/services/core/properties/ClientProperties.java, line(s) 72,103,115,117 com/unity3d/services/core/properties/SdkProperties.java, line(s) 205,207 com/unity3d/services/core/request/SDKMetrics.java, line(s) 33,37,54,57,59,65,79,94,104 com/unity3d/services/core/request/WebRequest.java, line(s) 83,180,186,195 com/unity3d/services/core/request/WebRequestRunnable.java, line(s) 90,75,94 com/unity3d/services/core/request/WebRequestThread.java, line(s) 61,121,136 com/unity3d/services/core/sensorinfo/SensorInfoListener.java, line(s) 28 com/unity3d/services/core/webview/WebView.java, line(s) 110,31,41,58 com/unity3d/services/core/webview/WebViewApp.java, line(s) 65,77,122,208,251,294,348,58,84,87,90,108,141,156,163,168,287,316,361 com/unity3d/services/core/webview/bridge/Invocation.java, line(s) 66 com/unity3d/services/core/webview/bridge/NativeCallback.java, line(s) 40 com/unity3d/services/core/webview/bridge/WebViewBridge.java, line(s) 59 com/unity3d/services/core/webview/bridge/WebViewBridgeInterface.java, line(s) 20,35 com/unity3d/services/core/webview/bridge/WebViewCallback.java, line(s) 50 com/unity3d/services/monetization/UnityMonetization.java, line(s) 38 com/unity3d/services/monetization/core/utilities/JSONUtilities.java, line(s) 22,36,48 com/unity3d/services/monetization/placementcontent/core/PlacementContent.java, line(s) 32,66 com/unity3d/services/purchasing/core/TransactionDetailsUtilities.java, line(s) 38 com/unity3d/services/purchasing/core/TransactionErrorDetailsUtilities.java, line(s) 23 com/unity3d/services/purchasing/core/api/CustomPurchasing.java, line(s) 69 com/unity3d/services/store/StoreBilling.java, line(s) 59,25,28,32,36 org/fmod/FMODAudioDevice.java, line(s) 66 org/fmod/a.java, line(s) 75
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://worldbox-g.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: c/v.java, line(s) 356,345,355,354,354
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/1085802747657/namespaces/firebase:fetch?key=AIzaSyDCc5fnrMUOo2mMRg5rZQ2ATPaWoQddsGM ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (config.unityads.unitychina.cn) 通信。
{'ip': '61.164.158.7', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '温州', 'latitude': '27.999420', 'longitude': '120.666817'}
综合安全基线评分总结
WorldBox v0.8.3
Android APK
32
综合安全评分
高风险